Zararlı Kodları PDF’lere Gizlemek İçin Yeni Teknikler

İstismar kodu analizi konusunda hizmet veren EdgeSpot’a göre, saldırganlar kötü amaçlı JavaScript kodlarını PDF dosyalarına eklenen resimlere gizlemek için steganografiyi kullanıyor.

Steganografi Nedir?

Steganografi, bir mesajı veya dosyayı başka bir dosya (metin, resim veya video) içerisine saklamak için kullanılan teknikler bütünüdür. Yüz yıllardır kullanılan bu yöntem kötü amaçlı kodların iletimi için siber suçlular tarafından da uzun zamandır kullanılmaktadır.

Bu Yeni Tekniği Diğerlerinden Farklı Kılan Ne?

EdgeSpot’un yaptığı araştırma, bu istismar kodu gizleme tekniğinin neredeyse tüm antivirüs yazılımlarını atlatacak güçte olduğunu gösterdi.

Araştırmacılar, söz konusu teknikle oluşturulan PDF örneğiyle ilk karşılaştıklarında, bunun yalnızca bir antivirüs yazılımı tarafından zararlı olarak algılandığını ve araştırmalarını bitirene kadar sonuçların iyileşmediğini söyledi.

“oral-b oxyjet spec.pdf” adıyla VirusTotal’e gönderilen bir örneği analiz eden araştırmacılar,  CVE-2013-3346 olarak adreslenen güvenlik açığını istismar etmek üzere oluşturulan bu PDF’te, zararlı kodları gizlemek için iki katmandan oluşan bir önlem alındığını belirledi.

Saldırganlar, PDF dosyasında depolanan “icon” adlı bir görüntüyü okumak için aynı anda çalışabilen “this.getIcon()” ve “util.iconStreamFromIcon()” adlı iki PDF JS API’sini çağırıyorlardı.

Zararlı kodları gizlemek için kullanılan bu teknikle, kurbana her şey normal gibi gösterilebiliyor ve çoğu antivirüs yazılımıdan kaçılabiliyor.

Korunmak İçin Ne Yapabiliriz?

  • Bilmediğiniz kaynaklardan gelen e-postalara iliştirilen eklerdeki dosyaları bilgisayarınıza indirmeyin ve açmayın.
  • Mutlaka kontrol etmeniz gereken PDF’leri Google Dokümanlar aracılığıyla görüntüleyin. (Google Dokümanlar PDF belgenizi ayrıştracak ve HTML formatında gösterecektir. Bu nedenle zararlı kod işlevini yitirir.)
  • E-postalarla birlikte sürekli PDF alıyorsanız VirtualBox gibi yazılımlar aracılığıyla bilgisayarınızda arındırılmış sanal bir ortam oluşturarak güvenmediğiniz dosyaları burada açın. (Dosyaları açmadan önce anlık görüntü oluşturarak bir sorun olduğunda ortamınızı sıfırlayabilirsiniz.)

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*